firecracker-microvm/firecracker

Investigate running the jailer with reduced set of capabilities

Open

#1190 aperta il 22 lug 2019

Vedi su GitHub
 (6 commenti) (0 reazioni) (1 assegnatario)Rust (2393 fork)batch import
Good first issuePriority: LowStatus: ParkedType: Enhancement

Metriche repository

Star
 (34.348 star)
Metriche merge PR
 (Merge medio 5g 17h) (49 PR mergiate in 30 g)

Descrizione

We currently start the jailer as the superuser (i.e. using sudo), and rely on the fact the process will deprivilege itself before exec-ing into Firecracker. It would be interesting to know if we can run the jailer using a more restricted set of capabilities instead of full superuser mode.

Guida contributor

Direzione di ricerca
Rivedere la PR esistente #1200 relativa a questo problema. Esaminare il codice sorgente del jailer in src/jailer/ per comprendere l'attuale utilizzo delle capability. Indagare le capability Linux necessarie per la funzionalità del jailer e testare l'esecuzione con un set ridotto.
Tech stack
rust
Dominio
security
Tipo issue
Ricerca
DifficoltàQuanto dovrebbe essere impegnativa per un nuovo contributor.
4
Tempo stimatoTempo stimato per completare e verificare uno scope piccolo.
1-2 giorni
Stato attivitàQuanto è probabile che la issue sia ancora attiva e reviewable.
Datata
ChiarezzaQuanto chiaramente la issue descrive problema, scope e risultato atteso.
Chiara
Prerequisiti
Linux capabilitiesRust programmingFirecracker architecture
Adatta ai principiantiQuanto la issue è adatta a contributor alla prima esperienza.
20